Ist die Software erst angeschafft, ist es meist zu spät, sich zu überlegen, was diese eigentlich so alles können muss. Sowohl praktische Anforderungen ans neue System als auch datenschutzrechtliche oder IT-Sicherheits-Aspekte spielen dann nur noch am Rande eine Rolle. Denn das System ist da und damit muss man leben. Gut also, wenn man sich vorher ein paar Gedanken macht, welche Anforderungen unter anderem an eine Software gestellt werden können – und sollten…
Der Inhalt im Überblick
Auftragsdatenverarbeitungsvertrag
Erfolgt bei der Software eine Fernwartung oder ein Support durch Dritte, die einen Zugriff auf personenbezogene Daten haben können, ist ein Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG abzuschließen.
Zugriffskontrolle
Es kann durchaus sinnvoll sein, einen Zugriff nur nach vorheriger Anmeldung und Authentisierung der einzelnen Nutzer zu ermöglichen, also einen Passwortzwang zu implementieren.
Darüber hinaus sollte die Software auch die Implementierung von Berechtigungen ermöglichen. Denn bestimmte Benutzer sollten bereits systemseitig daran gehindert werden, Zugriff auf Informationen zu erhalten, für die sie kein Zugriffsrecht haben oder für die keine Notwendigkeit zu einem Zugriff besteht.
Ähnliches gilt auch bezüglich der unbefugten Erzeugung oder Änderung (einschließlich Löschung) von Informationen – auch hier sollte man sich vorher überlegen, wer diese Berechtigung haben sollte und wer lieber nicht.
Eingabekontrolle
Die Eingabekontrolle in Form von Protokollierungen kann die Ordnungsmäßigkeit bzw. ein Verstoß gegen die Ordnungsmäßigkeit einer Verarbeitung personenbezogener Daten nachweisen. Die Protokolldaten daher sollten Auskunft darüber geben können, wer wann welche personenbezogenen Daten in welcher Weise geändert hat. Es ist also äußerst sinnvoll, wenn die Software eine solche Protokollierung auch ermöglicht.
Dabei sollte ebenfalls überprüft werden, ob eine Protokollierung ausschließlich schreibender Zugriffe genügt oder ob zusätzlich eine Protokollierung lesender Zugriffe notwendig ist. Letztere sollte grds. nur in besonders sensitiven Bereichen erfolgen.
Protokollauswertungen
Um die eben beschriebene Ordnungsmäßigkeit einer Verarbeitung personenbezogener Daten bzw. einen Verstoß gegen diese nachweisen zu können, muss eine Auswertung der Protokolle stattfinden. Dabei sollte darauf geachtet werden, dass Protokolldaten nur dazu berechtigten Personen zugänglich sind und nicht nachträglich verändert werden können.
Für eine datenschutzkonforme Auswertung von Protokolldaten muss vorab der Zweck der Protokollierung festgelegt und zwingend bei der Auswertung beachtet werden.
Zu beachten ist in diesen Fällen auch das Mitbestimmungsrecht des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG, da so auch eine Leistungs- und Verhaltenskontrolle der Arbeitnehmer möglich ist.
Archivierung und Löschung
Es sind konkrete Archivierungs- und Löschvorgaben zu definieren, die die Software auch umsetzen können sollte. Dabei ist ebenfalls darauf zu achten, ob langfristige Aufbewahrungsfristen umgesetzt und die Daten in dieser Zeit gesperrt werden können. Sollen mithilfe der neuen Software etwa auch Dokumente archiviert werden, die kaufmännischen Charakter haben, so sind zusätzliche Vorgaben aus HGB, AO sowie GoBS und GDPdU zu beachten.
Nach Ende der Aufbewahrungsfristen muss eine datenschutzkonforme Löschung gewährleistet sein. Weitere Informationen hierzu bieten die IT-Grundschutz-Kataloge des BSI, etwa unter M 2.431 oder M 2.167.
Unverfälschbarkeit und Datenintegrität
Schließlich kann es (insbesondere im Zusammenhang mit steuerrechtlichen Aufbewahrungsfristen) erforderlich sein Unverfälschbarkeit und Datenintegrität sicherzustellen. Dazu müssen bestimmte Beziehungen zwischen unterschiedlichen Daten korrekt bleiben und eine Übertragung von Daten zwischen einzelnen Prozessen muss ohne Änderungen möglich sein.
Darüber hinaus können Verfahren zur Integritätsprüfung notwendig sein, um so zuverlässig absichtliche Manipulationen an erstellten Daten sowie unbefugtes Wiedereinspielen von Daten aufdecken zu können. Hierfür ist der Einsatz kryptographischer Verfahren notwendig. Auch hierzu findet man mehr Informationen in M 4.34 der IT-Grundschutz-Kataloge des BSI.